Gehärtetes Hybrid-Cloud-Privatnetzwerk
Phase 1 abgeschlossen: Aufbau eines Zero-Trust-Privatnetzwerks über On-Premises-, Cloud- und mobile Endpunkte mit SSH-Haertung, DNS-Privatsphaere und sicherem Remote-Transit.
Kurzüberblick
Rolle
Infrastruktur-Verantwortung: Architektur, Hardening, Zugriffsmodell, Monitoring, Recovery-Pfad und operative Evidenz.
Umfang
Ich habe ein Tailscale-basiertes privates Overlay umgesetzt, das mobile Workstations, einen VPS und eine Debian-VM auf Proxmox verbindet. SSH wurde auf ED25519-Schlüssel und passwortlose Anmeldung gehärtet, Pi-hole und Unbound...
Rahmenbedingungen
Das Design nutzt rein schlüsselbasierten SSH-Zugriff mit ED25519, deaktiviert passwortbasierte Administrationspfade, vermeidet Abhängigkeit von öffentlichen DNS-Resolvern und minimiert direkte Exponierung. Private rekursive...
Evidenz
Passwortbasierte SSH-Administration aus der Umgebung entfernt
Architektur
Node
Mobile Laptops und andere Client-Geräte treten dem privaten Overlay als authentifizierte Nodes bei und nutzen stabile private Adressen plus gemeinsame SSH-Aliasse für konsistente Administration.
Edge
Eine Debian-VM auf einem Proxmox-Host bildet den privaten Betriebsanker: gehärtetes SSH, Pi-hole, Unbound, Exit-Node-Funktion und Firewall-Regeln, die vertrauenswürdigen Overlay-Traffic von anderen Interfaces trennen.
Cloud
Ein VPS nimmt am selben privaten Overlay teil und erweitert das Netz in die Cloud, ohne die Management-Ebene zu einer breit exponierten öffentlichen Fläche zu machen.
Node
Mobile Laptops und andere Client-Geräte treten dem privaten Overlay als authentifizierte Nodes bei und nutzen stabile private Adressen plus gemeinsame SSH-Aliasse für konsistente Administration.
Edge
Eine Debian-VM auf einem Proxmox-Host bildet den privaten Betriebsanker: gehärtetes SSH, Pi-hole, Unbound, Exit-Node-Funktion und Firewall-Regeln, die vertrauenswürdigen Overlay-Traffic von anderen Interfaces trennen.
Cloud
Ein VPS nimmt am selben privaten Overlay teil und erweitert das Netz in die Cloud, ohne die Management-Ebene zu einer breit exponierten öffentlichen Fläche zu machen.
Technische Diagramme
Die Architekturdiagramme dienen als Review-Artefakte, damit Systemgrenzen, Runtime-Flüsse und operative Entscheidungen schnell prüfbar sind.
Gehaertetes Hybrid-Cloud-Privatnetzwerk
Das Netzwerkdiagramm zeigt mobile Geraete, Tailscale Private Overlay, den VPS-Cloud-Node und die Home-Lab-Runtime. Es betont schluesselbasiertes SSH, private DNS-Aufloesung, interface-bewusste Firewall-Regeln, Exit-Node-Routing und geplante Segmentierung ohne direkte oeffentliche Exponierung der Management-Services.
Review-Fokus
- Management-Zugriff laeuft ueber authentifizierte private Overlay-Nodes
- Pi-hole und Unbound halten DNS-Aufloesung unter eigener Kontrolle
- Geplante IoT-, Gastnetz- und Detection-Ebenen sind vom verifizierten Ist-Stand getrennt dargestellt
Technische Entscheidungen
- ED25519-basiertes SSH-Hardening mit passwortloser Administration
- Zero-Trust-Tailscale-Overlay über mobile Workstations, Cloud-VPS und private On-Premises-Infrastruktur
- Pi-hole mit Unbound für vollständige rekursive DNS-Auflösung statt Third-Party-Resolvern
- Exit-Node-Routing und IP-Forwarding für verschlüsselten Transit in unsicheren Netzen
- Interface-basierte UFW-Policy, die vertrauenswürdigen Overlay-Traffic erlaubt und anderen Ingress einschraenkt
Herausforderungen
- Verteilte Infrastruktur über private Lab-Systeme, Cloud-Server und Reisegeräte hinweg wird schnell schwer abzusichern. Ohne schlüsselbasierte Administration, private DNS-Auflösung und...
- Das Design nutzt rein schlüsselbasierten SSH-Zugriff mit ED25519, deaktiviert passwortbasierte Administrationspfade, vermeidet Abhängigkeit von öffentlichen DNS-Resolvern und minimiert...
- Stabile private IPs, gemeinsame SSH-Konfiguration, optimiertes IP-Forwarding für Overlay-Traffic und leichtgewichtiges Host-Monitoring mit btop machen die Umgebung über Standorte hinweg...
Lessons Learned
- Passwortbasierte SSH-Administration aus der Umgebung entfernt
- Privaten, ortsunabhaengigen Zugriff über On-Premises-, Cloud- und mobile Endpunkte hinweg geschaffen
- Die DNS-Auflösung in einen privacy-orientierten lokalen rekursiven Pfad unter eigener Kontrolle verlagert
- Einen stärkeren Security- und Betriebsunterbau für künftige Self-Hosted- und Edge-Services geschaffen
Nächste Verbesserungen
- Diagramme bei größeren Architekturänderungen aktualisieren.
- Dokumentation weiter verdichten: README, Architekturentscheidungen und Screenshots synchron halten.
Tech-Stack
Verwandtes Projekt
Die angrenzende Fallstudie zeigt, wie dieses Projekt in die größere Portfolio-Story passt.
The Vienna Fortress
Eine gehärtete Proxmox- und Docker-Betriebsplattform aufgebaut, die mehrschichtige Sicherheit, Echtzeit-Observability, Reverse Proxying und automatisiertes Container-Lifecycle-Management verbindet.